Même si l’authentification multifacteur (MFA, Multi Factor Authentication) n’est plus un mystère pour un grand nombre d’actifs qui l’utilisent depuis leur smartphone, les moins technophiles auront parfois toutes les peines du monde à s’y retrouver. On estime déjà que 52 % des internautes utilisent le même mot de passe sur tous leurs comptes. Il est donc crucial d’élever les niveaux de cybersécurité. Le sujet devrait, à l’avenir, s’imposer comme l’une des priorités pour les organisations qui vont probablement devoir renforcer les conditions d’authentification multifacteur dans les environnements de travail.
Pour les organisations, il va falloir sensibiliser suffisamment le personnel à l’importance de la sécurité, et le former à l’utilisation de la MFA. Ces questions vont en effet progressivement primer en entreprise. Dans cet article, nous brosserons un tableau des principaux problèmes que rencontrent les utilisateurs avec la MFA. Nous évoquerons aussi ce que les responsables IT peuvent faire pour prévenir ces difficultés en amont et les raisons pour lesquelles le rôle de l’authentification multifacteur est si crucial pour la cybersécurité. Enfin, nous exposerons les critères de réussite d’un déploiement MFA et la marche à suivre pour que votre projet d’authentification multifacteur soit également un succès dans votre organisation.
Principales difficultés liées à l’authentification multifacteur
Lorsqu’un collaborateur peine à configurer et utiliser la MFA, il sera moins enclin à adopter cette nouvelle technologie. La bonne nouvelle est que les difficultés associées à la MFA tiennent, pour la plupart, à un manque de sensibilisation des utilisateurs. Une formation adaptée et des ressources adéquates permettent de résoudre facilement le problème — ce que propose d’ailleurs un fournisseur de solutions MFA de qualité.
Les responsables IT ont parfois tendance à oublier que l’authentification multifacteur reste, pour beaucoup, un sujet compliqué. Dans un monde numérique qui évolue à un rythme effréné, certaines personnes sont plus longues que d’autres à prendre le train technologique en marche. Cela vaut pour toutes les professions, quel que soit le secteur d’activité.
Selon de récentes enquêtes, la majorité des développeurs auraient moins de cinq ans d’expérience. Les plus en pointe technologiquement, c’est-à-dire ceux qui sortent de l’université, sont particulièrement recherchés. Les professionnels du développement ayant décroché leur diplôme il y a seulement cinq ans peuvent déjà se retrouver dépassés sur certaines évolutions sur le plan technologique et système. Une remise à niveau peut alors être nécessaire. On mesure, dans ce contexte, l’ampleur des besoins en formation chez les employés qui doivent revoir les principes de base de la cybersécurité. Et l’on ne parle même pas de ceux qui exercent dans d’autres secteurs que les technologies !
Le mieux est de faire appel à un fournisseur MFA qui dispose de ressources importantes (comme c’est le cas de GlobalSign !). L’idéal est en effet de pouvoir piocher dans un large éventail de formats de ressources (instructions écrites, fiches techniques, vidéos…) pour être en mesure de s’adresser à tout le monde — chacun ayant son mode d’apprentissage.
De nombreux collaborateurs préfèrent configurer la MFA sur leurs terminaux personnels afin d’accéder aux documents professionnels même depuis leur domicile. Le service d’authentification multifacteur que vous choisirez doit par conséquent être compatible avec un large éventail d’appareils. Avant de vous engager avec un fournisseur MFA, demandez-lui si certains équipements sont incompatibles avec son programme.
Révision des règles d’hygiène numérique de base
Vous devez avant toute chose vous assurer que vos employés ont bien compris les raisons pour lesquelles la MFA est si importante. Le sujet doit idéalement s’intégrer dans le cadre d’une formation globale à l’hygiène cyber. L’objectif : créer une culture axée prioritairement sur la sécurité au travail. Cette formation à l’hygiène numérique doit doter les utilisateurs des bons réflexes pour que leurs données personnelles et professionnelles bénéficient du degré de protection le plus élevé.
On est généralement moins susceptible d’adopter de nouvelles procédures ou de suivre de nouvelles politiques si l’on n’en comprend pas les raisons. Expliquez à vos collaborateurs que, pour rester à jour et se protéger des menaces actuelles, les politiques et les procédures doivent évoluer.
Avec l’essor du télétravail, il est indispensable de bien comprendre ce qu’est la sécurité informatique, quel que soit l’environnement de travail. Votre organisation pourra profiter de l’occasion pour sensibiliser vos salariés à d’autres principes essentiels pour leur sécurité personnelle. Vous pourrez ainsi les inviter à vérifier la présence de certificats SSL/TLS lors de leur navigation sur le web. Si votre entreprise n’utilise pas encore le protocole SSL/TLS pour son site de marque, n’attendez plus ! Le SSL/TLS est la première étape importante pour sécuriser a minima votre site.
Pour le développeur web Nathanial Finch de Best web Hosting Australie, quel que soit le service d’hébergement que vous utilisez pour votre site web, votre offre doit comprendre le chiffrement SSL.
« Le protocole SSL doit être fourni en standard avec tout service d’hébergement web », déclare M. Finch. « Tout site qui vend des produits numériques ou physiques en ligne a besoin d’un certificat SSL. Même chose pour les sites web axés SEO si l’on veut qu’ils apparaissent dans les résultats de recherches Google. »
Expliquez à vos salariés de quelle manière les nouvelles pratiques protègent à la fois les informations de l’entreprise et leurs données personnelles. Communiquez également sur les autres mesures prises par votre entreprise pour améliorer la protection des données personnelles. Expliquez-leur en quoi un compte uniquement protégé par mot de passe est vulnérable au piratage. Revoyez rapidement avec eux les attaques sophistiquées devenues monnaie courante et les mesures prises par votre entreprise pour protéger ses salariés et ses clients.
Mode d’emploi d’un déploiement MFA réussi
Quel que soit le secteur d’activité, les responsables IT doivent anticiper pour que la transition vers la MFA soit la plus fluide possible. Ces responsables doivent réfléchir aux mesures à prendre avant le déploiement d’un nouveau programme de MFA, mais aussi pendant les premières phases de ce déploiement et une fois la mise en œuvre terminée.
Avant de mener à bien ce changement, les utilisateurs concernés devront avoir été prévenus et préparés au moins deux semaines à l’avance. Alertez-les plusieurs fois, par e-mail de préférence et par d’autres moyens, pour vous assurer que votre message a bien été pris en compte. Dans vos messages, communiquez le plus d’informations possible, sans submerger vos utilisateurs de détails.
Indiquez-leur à quoi s’attendre, quel sera l’impact pour eux, s’ils vont devoir connecter un appareil personnel et à quel moment le changement interviendra. Expliquez ce qui motive un tel changement et précisez aux utilisateurs les éventuelles mesures à prendre avant le déploiement — notamment s’ils doivent télécharger de nouvelles applications. Si le fournisseur de solution MFA que vous choisissez prend l’accompagnement de vos utilisateurs au sérieux, précisez à vos salariés que des ressources de formation leur seront proposées lors de la mise en œuvre du programme d’authentification multifacteur.
La veille du déploiement initial de votre programme, assurez-vous d’avoir partagé toutes les ressources de formation dont vous disposez. Préparez votre équipe IT à faire face à une éventuelle augmentation du nombre de tickets liés à l’adoption du nouveau système MFA. Assurez-vous également que l’équipe se tient prête à répondre aux questions les plus courantes.
Une fois le déploiement achevé, il faut éviter que l’équipe IT ne considère le projet MFA définitivement clos. Les responsables informatiques doivent rester sur leurs gardes face aux tentatives de connexion suspectes, aux verrouillages et autres signaux d’alerte potentiels. Dans le cadre de leur stratégie d’atténuation des menaces, ils peuvent par exemple utiliser un tableau de bord centralisé – proposé par certains fournisseurs de MFA – pour surveiller le comportement des utilisateurs.
Conclusion
Dans un monde de plus en plus dépendant du numérique, les organisations ne peuvent plus faire abstraction de la cybersécurité. La sécurité est un processus en constante évolution qui exige de mettre en œuvre les bonnes protections dans l’environnement de travail, mais aussi d’éduquer et de former correctement les collaborateurs.
Lorsque la méthode est bonne, la mise en œuvre de l’authentification multifacteur aide vos employés à prendre davantage conscience de leur responsabilité dans le maintien d’une sécurité adéquate. Cela peut également les inciter à adopter de meilleurs réflexes de sécurité à titre personnel.
En adoptant la MFA pour protéger votre entreprise, vous offrez à vos employés et clients une tranquillité d’esprit, et protégez vos données contre des actes de piratage malveillants en plein essor.
Note : Cet article de blog a été écrit par un contributeur invité dans le but d’offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.
